24/08/2015

Black Hat USA 2015: Jak zhakowano Jeepa – szczegóły historii

Informacje Zagrożenia

Niedawno napisaliśmy o głośnej akcji zhakowania Jeepa Cherokee. Na Black Hat USA 2015, dużej konferencji poświęconej bezpieczeństwu, badacze Charlie Miller i Chris Valasek szczegółowo opisali, jak dokładnie przebiegał atak.

blackhat-jeep-hack-featured

Na początku Miller i Valasek próbowali zhakować system multimedialny Jeepa przy użyciu połączenia Wi-Fi — Chrysler, producent pojazdu, oferuje je w postaci subskrypcji. Okazało się, że zhakowanie tej sieci Wi-Fi nie jest takie trudne ze względu na fakt, że hasło do niej jest generowane automatycznie na podstawie danych o czasie, w którym samochód i jego system multimedialny — jednostka główna — zostały uruchomione po raz pierwszy.

Teoretycznie opcja odgadnięcia daty i godziny jest metodą raczej bezpieczną, daje jednak wiele możliwych kombinacji. Ale jeśli znasz rok produkcji auta i odgadniesz miesiąc, pozostanie tylko 15 milionów możliwości. Jeśli założysz, że pierwsze uruchomienie nastąpiło w ciągu dnia, zostaje 7 milionów możliwości. Dla hakera liczba ta nie jest wyzwaniem niemożliwym do rozwiązania — można złamać ją metodą siłową w ciągu godziny.

Podążanie za konkretnym Jeepem przez godzinę i utrzymywanie połączenia z jego siecią Wi-Fi może być problematyczne, dlatego badacze szukali innego sposobu. I — niespodzianka! — znaleźli. Okazało się bowiem, że generowanie hasła do Wi-Fi dla aut Chryslera odbywa się przed nastawieniem aktualnej daty i czasu i bazuje na domyślnym czasie systemowym plus kilka sekund, podczas których uruchamia się jednostka główna.

W tym przypadku był to pierwszy stycznia 2013 00.00 GMT, a dokładniej 00.00.32 GMT. Liczba kombinacji jest bardzo mała i odgadnięcie hasła to bułka z masłem nawet dla hakera-amatora.

blackhat-jeep-3

Po uzyskaniu połączenia z jednostką główną Jeepa Miller i Valasek znaleźli sposób na zkahowanie komputera multimedialnego, który działa na systemie operacyjnym Linux. Wykorzystując pewne całkiem nietrudne do odnalezienia luki w oprogramowaniu, ostatecznie przejęli kontrolę nad systemem jednostki głównej.

Po zhakowaniu systemu w ten sposób możliwości są ograniczone, ale dość obiecujące: badacze byli w stanie całkowicie przejąć kontrolę nad odtwarzaczem muzycznym, ustawić radio na dowolnie wybraną przez siebie stację i dostosować głośność. Wyobraź sobie, co się może stać, gdy jedziesz z prędkością 140 km/h i nagle Twoje radio zaczyna grać z maksymalną głośnością, a Ty nie możesz nic z Tym zrobić.

Badacze odkryli także możliwość śledzenia auta przez jego system nawigacyjny GPS. W tym przypadku nie trzeba nawet zmieniać oprogramowania jednostki głównej, bo jest to opcja wbudowana.

blackhat-jeep-2

W ten sposób można zhakować połączenie Wi-Fi Chryslera, jeśli jego właściciel płaci za subskrypcję. Ale niezbyt wielu ludzi korzysta z tej usługi. Z drugiej strony, wszystkie jednostki główne są połączone z siecią komórkową Sprint, nawet jeśli ich właściciele nie zakupili żadnej usługi bezprzewodowej – jest to standard w jednostkach głównych stosowanych w samochodach.

Miller i Valasek próbowali swojego szczęścia w ten właśnie sposób. Wprawdzie wymagało to wiele czasu i wysiłku, ale opłaciło się. Kupili na eBay’u femtokomórkę (kompaktową komórkową stację bazową), której użyli do uzyskania dostępu do sieci Sprint i przeprowadzenia masowego skanowania adresu IP, słuchając wybranych połączeń, o których wiedzieli po zhakowaniu przez Wi-Fi.

W ten sposób możesz odnaleźć wszystkie auta Chryslera, w których znajduje się wspomniany rodzaj jednostki głównej. Ponad milion z nich zostało już wycofane przez Fiata Chryslera. Następnie musisz wybrać jeden pojazd i – co ciekawe – jest to raczej trudne do wykonania. „Znacznie łatwiej jest zhakować wszystkie Jeepy niż jakiegoś jednego konkretnego” – powiedzieli badacze.

Jednak wskazanie jednego Jeepa jest możliwe dzięki opcji śledzenia GPS. Dalej możesz już zrobić z systemem multimediów wszystko, co tylko chcesz. Ale to nie koniec.

Kolejnym krokiem było znalezienie sposobu na uzyskanie dostępu do magistrali CAN. Jest ona wewnętrzną siecią pojazdu, która łączy ze sobą wszystkie najważniejsze elementy auta — silnik, skrzynię biegów, czujniki itp., czyli prawie wszystko, co masz na pokładzie (w obecnych czasach niemal każda część pojazdu jest sterowana elektronicznie).

System multimedialny nie jest bezpośrednio połączony do magistrali CAN. Jeśli chodzi o bezpieczeństwo IT systemów cyber-fizycznych, wszyscy producenci zawsze podkreślają, że pomiędzy połączonymi i fizycznymi częściami tych systemów znajduje się swego rodzaju warstwa izolacyjna.

Jak się okazało, warstwa ta nie jest zbyt duża, przynajmniej w autach Chryslera. Sam kontroler systemu multimedialnego nie może komunikować się bezpośrednio z magistralą CAN, ale może nawiązywać łączność z innym komponentem, połączonym z tą magistralą – kontrolerem V850. Coś na zasadzie – ktoś zna kogoś, kto ma taką sytuację.

Oprogramowanie kontrolera V850 zostało zaprojektowane w sposób przemyślany, umożliwiając słuchanie sygnałów z magistrali CAN, ale nie pozwalając na wysyłanie poleceń za jej pośrednictwem. Ale w końcu jest to komputer, więc jeśli nie ma czegoś, czego potrzebujesz – możesz sobie to dodać poprzez przeprogramowanie go.

blackhat-jeep-1

Badacze odkryli możliwość zamiany firmowego oprogramowania kontrolera V850 na swoje szkodliwe wersje poprzez połączenie go z systemem multimedialnym. Ta „aktualizacja” oprogramowania może zostać przeprowadzona bez żadnej kontroli czy autoryzacji. Nawet jeśli wymagana była autoryzacja, badacze odnaleźli parę luk, które umożliwiały przejęcie kontroli nad wspomnianym kontrolerem.

I to był strzał w dziesiątkę – Miller i Valasek mogli wysyłać polecenia za pośrednictwem magistrali CAN i sterować każdym — dosłownie! — elementem samochodu. Mogli kontrolować kierownicę, silnik, skrzynię biegów, system hamulców, nie mówiąc o wycieraczkach, klimatyzacji, zamkach w drzwiach itp. Co więcej, mogli to wszystko kontrolować całkowicie zdalnie, za pośrednictwem sieci komórkowej Sprint.

https://twitter.com/0xcharlie/status/629095410322178049/photo/1?ref_src=twsrc%5Etfw

Dobra wiadomość jest taka, że przeprowadzenie badania zajęło Millerowi i Valaskowi kilka lat, a zarządzanie elementami połączonymi z magistralą CAN auta — wciąż pozostaje dla nich zagadkowe. Czyli to nie jest tak, że może to zrobić każdy. Zła wiadomość jest taka, że takie włamania są całkiem możliwe. A ich możliwości trudno przecenić.

Aktualizacja: 10 sierpnia 2015 Valasek i Miller opisali swoje badania w oficjalnym dokumencie.